由Meta案看數位資料商業化面臨之跨國問題

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。

　　美國雖將能源列為國家長期的能源政策目標，自1990年代後期，亦投入核能的安全性、環境建置及研發補助等，但最近因將重點放在其他替代性能源的開發，因此在核能方面的計畫稍微減少，尤其自1979年美國三哩島核電廠（Three-Miles Island Nuclear Generating Station）發生事故後，美國三十年來未再興建任何核電廠。但由於核能發電的高效率與不會排放二氧化碳的低污染，因此美國政府將之列為重點發展項目，強調美國政府的能源政策是要發展任何可能的能源，包括合核能，以提升在全球潔淨能源的競爭優勢。 　　美國總統歐巴馬表示，為了維持能源供需的穩定，以及避免氣候的惡劣變遷，有必要重啟美國核能產業，持續提高核能的供應量。因此於2011年12月經核子管理委員會（Nuclear Regulatory Commission）通過、2012年2月再次於投入核電廠的興建，於喬治亞洲Vogtle核電廠核准興建兩座新的核能反應爐，並透過成本分擔協議（cost-share agreement）投入2億美元，協助設計認證及許可。 　　此外，並於同年3月宣布投入4. 5億美元於五年內支持兩座自製的小型核能反應爐（small modular nuclear reactor，SMR）的設計、認證及核准，希望能輸出這些自製的反應爐，提升全球潔淨能源的競爭力。這些反應爐約只佔核能廠的三分之一面積，具有安全的建築設計，小型反應爐能在工廠內製造，並運輸到定點安裝，能節省成本及建造的時間。且其最理想的地方在於其體積小，能使用在小型智慧電網級一些無法容納大型反應爐的地方，其運用能更有彈性，能增加經濟效益。 　　國政府希望透過與私人企業的合作，帶領美國在全球核能科技及製造的領先地位。因此希望能源部希望此計畫能經核子管理委員會的許可，此一小型核能反應爐的計畫總金額為9億美元，透過與私人企業成本分擔的協議，其中50% 由國會撥款，另50%則由私人企業投資，並於2022年商業化，取得在全球潔淨能源的競爭優勢地位。

　　根據德國法蘭克福地方法院日前於4月20日的一則假處分裁定（Beschluss vom 20.04.2010, Az. 3-08 O 46/10），禁止被告以超連結方式，讓點取該鏈結的人，得以連結到刊登有損害原告商業信譽的文章頁面。 　　本件事實起源於一名匿名的網友在不同的網路論壇中，發表刊登有侵害原告商業信譽的言論，而曾經與原告有商業上往來的被告，利用自己Twiiter帳戶，發表超連結，並在鏈結網址下加上「十分有趣」的文字，讓看到該訊息的朋友，都可以點選鏈結連接到這些不利於原告商業信譽的文章、言論。原告因而向法院申請假處分裁定，禁止被告以超連結方式繼續為有損原告商業信譽的行為。 法蘭克福地方法院的這起裁定，被視為是德國國內第一起法院對Twitter等社群網站的警告，德國輿論各界也普遍認為，法院透過裁定對外明白宣示社群網站使用者往往誤認網路社群空間為「半私人場域（須加入好友才得以分享資訊、留言等）」，在自己的帳戶上發表心得、感想、分享文章等行為，還是有構成侵權責任的可能性。 　　該裁定出爐後，德國各界則開始討論被告設定超連結的行為是否構成網路侵權責任，持贊成意見者認為，即使該違法言論非被告本人所發表，被告設定超連結的行為，也讓自己與該違法言論「合而為一（zueigen gemacht）」，也就是，讓外界以為該違法言論就是被告本人所撰寫刊登；根據德國電信服務法（Telemediengesetz, TMG）第7條規定，內容提供者須為「自己」的言論負擔法律責任。 　　反對者則拿其他超連結的案例舉出，法院認定被告是否構成網路內容提供者的侵權責任，通常會檢視被告對於該違法言論的內容是否知悉、被告是否違背其檢查監督義務（Überprüfungspflicht），例如被告須為一定行為藉以與原撰文者劃清界線等。但因各該檢驗標準都係由法院依據個案加以認定，讓人無所適從，產生網路侵權行為的判斷標準過於浮動之疑慮，德國國會也因此著手進行電信服務法的修法。